ViPNet - Северный филиал РГУИТП

Федеральное агентство по образованию РФ
Российский государственный университет инновационных технологий и
предпринимательства (РГУИТП)
Северный филиал
Реферат по дисциплине
«Информационная безопасность»
Тема: «Программа ViPNet»
Выполнил студент группы И411
______________ И.И. Попов
"____"_________ 2008 г.
Великий Новгород
ViPNet [Администратор]
VPN[Администратор] включает в себя программы:
Центр Управления Сетью
Ключевой Центр
Центр Управления Сетью (ЦУС)является регистрационным центром и предназначен
для конфигурации и управления виртуальной сетью, решает следующие основные задачи:
Задает узлы сети, группы пользователей и пользователей в них.
Задает допустимые связи между группами пользователей и, соответственно, между
узлами, что определяет наличие необходимых ключей разного уровня на узлах и
содержимое адресных книг программ управления виртуальной средой и прикладных
программ ViPNet. Эти связи, определяющие возможности доступа к конкретным
техническим и информационным ресурсам корпоративной сети, адресные книги и
ключевая информация не доступны для модификации со стороны пользователей и их
может изменить только ЦУС.
Определяет типовые политики безопасности и распределение допустимых полномочий
пользователей и локальных администраторов на конкретных узлах по изменению политик
безопасности для этих узлов.
Определяет возможность доступа конкретных компьютеров локальной сети к
открытым ресурсам Интернет и других внешних сетей. При этом специальная технология
обеспечивает во время доступа во внешнюю сеть блокировку любого трафика этих
компьютеров со всеми ресурсами локальной сети и объектами виртуальной сети.
В соответствии с заданными связями и политиками безопасности формирует
соответствующие справочники доступа для узлов и справочники допустимых связей для
Ключевого центра.
Обеспечивает автоматическую защищенную доставку и контроль доставки на
развернутые узлы измененных справочников доступа, ключевой информации из КЦ
(симметричные ключи, сертификаты пользователей, списки сертификатов, выведенных из
действия, сертификаты ключевых центров других сетей ViPNet и др.).
Обеспечивает обмен с ЦУСами других виртуальных ViPNet-сетей списками объектов
своих сетей, которые должны взаимодействовать между собой. Производит взаимное
согласование с этими ЦУСами допустимых межсетевых связей между объектами сетей.
Обеспечивает обмен корневыми сертификатами этих сетей, списками сертификатов,
выведенных из действия.
Выполняет оперативные действия в случаях компрометации ключевой информации на
объектах сети.
Осуществляет автоматическое обновление программного обеспечения ViPNet на
объектах сети в удаленном режиме.
Обеспечивает удаленный просмотр и анализ журналов событий для компонент ViPNet
2
[Клиент] и ViPNet [Координатор], контроль успешности высланных ЦУСом обновлений
ключей, справочников и программного обеспечения.
Ключевой Центр (КЦ) предназначен для обеспечения ключевой информацией всех
участников VPN и выполнения функций удостоверяющего центра. При этом первичные
клиентские ключевые наборы могут быть записаны на дискеты, смарт-карты, touch
memory, e-token и прочее для передачи участникам VPN. Последующее обновление
ключевой информации осуществляется автоматически по защищенным каналам VPN.
Функции КЦ:
формирование и автоматическое обновление через ЦУС симметричной ключевой
информации и первичной парольной информации для объектов и пользователей сети,
выполнение функций удостоверяющего центра сертификатов цифровых подписей.
ЦУС и КЦ могут эксплуатироваться как отдельными администрациями на разных
компьютерах, так и одним администратором на одном компьютере.
Для установки ViPNet [Администратор] необходим IBM-совместимый компьютер с
операционной системой Windows 95/98/Me/NT/2000/XP и не менее 100 Мбайт свободного
места на жестком диске. Характеристики компьютера определяются размерностью сети.
ViPNet [Координатор]
ViPNet[Координатор] - многофункциональный модуль, осуществляющий в
зависимости от настроек следующие функции:
Сервер IP-адресов
- обеспечивает работу с динамическими IP-адресами;
- ведет в реальном времени базу IP-адресов всех подключенных к VPN в данный момент
времени клиентов (рабочих станций, серверов, мобильных и удаленных пользователей и
т.д.).
При этом может быть организовано взаимное резервирование серверов IP-адресов для
повышения надежности развернутой VPN-сети.
Почтовый сервер
- обеспечивает маршрутизацию почтовых конвертов, а также управляющих сообщений
ЦУСа при взаимодействии объектов сети между собой.
Proxy-сервер защищенных соединений
- обеспечивает работу абонентских пунктов защищенной сети от имени одного адреса.
Сервер-туннель
- позволяет организовать защиту трафика между локальными сетями, и используется
тогда, когда нет необходимости разграничения доступа внутри каждой из локальных
сетей, входящих в виртуальную сеть. Позволяет также зашифровать трафик между
группой незащищенных компьютеров одной локальной сети и группой незащищенных
компьютеров другой локальной сети, в том случае, когда не требуется защищать трафик
3
от всех компьютеров локальной сети для передачи его по открытой глобальной сети;
- обеспечивает туннелирование всего IP-трафика между защищаемыми сетями в
защищенное соединение между ViPNet [Координаторами] по UDP-протоколу;
- позволяет обеспечить защищенное управление маршрутизаторами сети (Cisco и др.) за
счет использования технологии обратного туннеля.
Межсетевой экран
- обеспечивает фильтрацию IP-трафика от всех источников вне VPN и источников,
трафик от которых туннелируется, в соответствии с заданной политикой защиты;
- при наличии нескольких сетевых интерфейсов позволяет по каждому из них определить
собственный набор правил фильтрации, что позволяет использовать ViPNet
[Координатор] как мультиинтерфейсный сетевой экран для разделения локальной сети на
несколько сегментов с разными режимами безопасности.
Сервер "открытый Интернет"
- в этом режиме ViPNet [Координатор] устанавливается в точке присоединения
локальной сети к Интернет и обеспечивает фильтрацию и туннелирование (шифрование)
открытого трафика при доставке его к компьютеру локальной сети с установленной на
нем компонентой ViPNet[Клиент]. В результате, потенциально "опасный" открытый
трафик, равно как и работающий с ним компьютер, будут "изолированы" от остальных
компьютеров локальной сети.
Функциональность ViPNet [Координатора] определяется Центром управления сетью и
формируемыми им справочниками и маршрутными таблицами.
В виртуальной сети может быть установлено множество ViPNet [Координаторов],
взаимодействующих между собой. При этом может быть организовано их взаимное
резервирование для повышения надежности развернутой VPN-сети.
Для установки ViPNet [Координатора] необходим IBM-совместимый компьютер с
операционной системой Windows NT/2000/XP или Linux, а также не менее 100 Мбайт
свободного места на жестком диске. Характеристики компьютера определяются
размерностью сети и производительностью каналов связи.
ViPNet [Клиент]
ViPNet[Клиент] - модуль, реализующий на рабочем месте следующие функции:
Персональный сетевой экран - позволяет защитить компьютер от попыток
несанкционированного доступа как из глобальной, так и из локальной сети;
Персональный сетевой экран позволяет системному администратору или пользователю
(при наличии присвоенных ему полномочий):
управлять доступом к данным компьютера из локальной или глобальной сети;
определять адреса злоумышленников, пытающихся получить доступ к информации на
Вашем компьютере;
обеспечивать режим установления соединений с другими открытыми узлами локальной
или глобальной сети только по инициативе пользователя, при этом компьютер
пользователя остается "невидимым" для открытых узлов локальной и глобальной сетей
4
(технология Stealth), что исключает возможность запуска по инициативе извне
всевозможных программ "шпионов";
формировать "черные" и "белые" списки узлов открытой сети, соединение с которыми
соответственно "запрещено" или "разрешено";
осуществлять фильтрацию трафика по типам сервисов для данного адреса открытой
сети или диапазона адресов, что позволяет в случае необходимости ограничить
использование "опасных" сервисов на "сомнительных" узлах открытой сети;
осуществлять фильтрацию трафика по типам сервисов и протоколов для связанных с
данным узлом других защищенных узлов;
контролировать активность сетевых приложений на данном компьютере, где установлен
ViPNet [Клиент], что позволяет вовремя обнаружить и заблокировать активность
несанкционированно установленных и запущенных программ "шпионов", которые могут
передавать злоумышленникам сведения об информации, обрабатываемой на данном
компьютере (пароли доступа, данные о кредитных картах, идентификаторы для доступа в
корпоративные базы данных и др.).
Установление защищенных соединений с другими компьютерами, оснащенными
ViPNet[Клиентом], для любых стандартных сетевых приложений;
Для любых сетевых приложений обеспечивается следующие основные функции:
шифрование IP-пакетов с добавлением в них информации для обеспечения целостности,
контроля времени, идентификации (авторизации) и скрытия первоначальной структуры
пакета;
блокировка шифрованных пакетов при нарушении их целостности, превышении
допустимой разницы между временем отправки и текущим временем (защита от
переповторов) или при невозможности аутентифицировать пакет;
Возможность установления защищенных соединений между компьютерами,
оснащенными ViPNet[Клиентом] позволяет:
- организовать схему защищенного использования всевозможных Web-приложений, в
том числе Web-trading, Web-ordering, Web-хостинга, Web-вещания и т.д., с доступом к
Web-платформе, на которой установлен ViPNet [Клиент], только определенному списку
участников VPN.
Данная схема обеспечивает пользователям и корпорации гибкое и безопасное
использование всевозможных Web- приложений как наиболее простого и доступного
средства коллективной работы корпорации и ее партнеров;
- защитить и дополнительно авторизовать все соединения между локальными,
мобильными и удаленными пользователями, оснащенными ViPNet [Клиентом], и
корпоративными серверами приложений, баз данных, SQL-серверами, также
оснащенными ViPNet [Клиентом].
Это открывает широкие возможности по безопасному внедрению всевозможных ERPсистем, финансово-учетных систем, работающих в реальном времени, систем типа
"Клиент-Банк", "Интернет-Банкинг", CRM (Customer Relationship Management) систем и
прочих систем, где с одной стороны накапливается конфиденциальная информация,
требующая соблюдения правил информационной безопасности и управления доступом, а
с другой стороны необходима коллективная работа с приложениями на сети разных
5
категорий пользователей;
- использовать недорогие и общедоступные сетевые ресурсы открытой сети для передачи
конфиденциальной информации.
Услуги защищенных служб реального времени для организации циркулярного обмена
сообщениями, проведения конференций, защищенных аудио- и видео- переговоров
позволяют:
обменяться сообщениями или организовывать циркулярный обмен сообщениями, в
процессе которого организатор такого обмена видит все сообщения, в то же время
участники обмена сообщений друг друга не видят. При этом ведутся и могут быть
сохранены протоколы всех сообщений;
проводить защищенные конференции;
оперативно видеть подтверждения доставки и прочтения сообщений;
проводить защищенные аудио- (Voice over IP) и видео-переговоры (конференции).
При этом, технология ViPNet поддерживает любые стандартные программные и
аппаратные средства для проведения аудио- и видео-конференций, основанные на IPтехнологиях.
Сервис защищенных почтовых услуг - защищенная "деловая почта" с возможностями
аутентификации отправителя и получателя, а так же обеспечивающая контроль за
прохождением и использованием документов.
Деловая почта - модуль, входящий в состав ViPNet[Клиента] позволяет:
передавать электронные сообщения по открытым каналам связи с защитой на всем
маршруте следования от отправителя до получателя, при этом в качестве открытого
канала могут быть использованы стандартные сервера SMTP/POP3;
одновременно с самим сообщением защитить прикрепленные к нему файлы;
организовать по установленным правилам защищенный автопроцессинг стандартных
документов, "рождаемых" другими приложениями и системами управления бизнесом
(бухгалтерскими, банковскими, управленческими и пр.);
осуществлять поиск документа в почтовой базе документов по множеству параметров
(отправитель, получатель, тема, дата, период, контекст и т.п.);
подтверждать личность отправителя, используя электронную подпись, встроенную в
общую систему безопасности;
передать сообщение только тем получателям, для которых оно предназначалось, а также
при необходимости автоматически отправить копии сообщений на заданные в ЦУСе узлы;
подтвердить получение и использование сообщений, а также дату, время получения и
личности получателей;
вести учетную нумерацию сообщений.
6
Кроме вышеперечисленных функций ViPNet [Клиент] предоставляет СОМ интерфейс
для вызова криптофункций и их совместного использования с Web приложениями
Для установки ViPNet [Клиента] необходим IBM-совместимый компьютер с
операционной системой Windows 95/98/ME/NT/2000/XP c модемом или сетевой картой и
не менее 20 Мбайт свободного места на жестком диске.
7